JWT加密及认证( 二 ) _算法

( () + “.” + (), )
算出签名以后，把、、三个部分拼成一个字符串，每个部分之间用"点"（ . ）分隔，就可以返回给用户。

文章插图
1.4.4
前面提到，和串型化的算法是。这个算法跟算法基本类似，但有一些小的不同。
JWT 作为一个令牌（token），有些场合可能会放到 URL（比如 /?token=xxx）。
有三个字符 +、/ 和 =，在 URL 里面有特殊含义，所以要被替换掉： = 被省略、 + 替换成 -，/ 替换成 _。这就是算法。
1.5 JWT 的使用方式
客户端收到服务器返回的 JWT，可以储存在里面，也可以储存在。
此后，客户端每次与服务器通信，都要带上这个 JWT 。你可以把它放在里面自动发送，但是这样不能跨域，所以更好的做法是放在 HTTP 请求的头信息字段里面。
:
另一种做法是，跨域的时候，JWT 就放在 POST 请求的数据体里面。
1.6 JWT 的几个特点
JWT 默认是不加密，但也是可以加密的。生成原始 Token 以后，可以用密钥再加密一次。
JWT 不加密的情况下，不能将秘密数据写入 JWT 。
JWT 不仅可以用于认证，也可以用于交换信息。有效使用 JWT，可以降低服务器查询数据库的次数。
JWT 的最大缺点是，由于服务器不保存状态，因此无法在使用过程中废止某个 token，或者更改 token 的权限。也就是说，一旦 JWT 签发了，在到期之前就会始终有效，除非服务器部署额外的逻辑。
JWT 本身包含了认证信息，一旦泄露，任何人都可以获得该令牌的所有权限。为了减少盗用，JWT 的有效期应该设置得比较短。对于一些比较重要的权限，使用时应该再次对用户进行认证。
为了减少盗用，JWT 不应该使用 HTTP 协议明码传输，要使用 HTTPS 协议传输。
2.手撕一个Demo
创建一个maven项目，加入pom依赖：
<io.jsonwebtokenjwt0.9.0junitjunitRELEASEcompileorg.apache.maven.pluginsmaven-compiler-plugin3.51.81.8
创建类：

public class JWTDemo {//加密的Keyprivate static final String SECRET_KEY = "123456789";@Testpublic void jwtTest() throws InterruptedException {// 设置3秒后过期SimpleDateFormat simpleDateFormat = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");long time = System.currentTimeMillis() + 30 * 60 * 1000;String jwt = this.buildJwt(new Date(time));System.out.println("jwt = " + jwt);// 验证token是否可用boolean isOk = this.isJwtValid(jwt);System.out.println(isOk);}public String buildJwt(Date exp) {String jwt = Jwts.builder()//SECRET_KEY是加密算法对应的密钥，这里使用额是HS256加密算法.signWith(SignatureAlgorithm.HS256, SECRET_KEY)//expTime是过期时间.setExpiration(exp).claim("name", "wangtingjun").claim("age", "18")//该方法是在JWT中加入值为vaule的key字段.claim("key", "vaule").compact();return jwt;}public boolean isJwtValid(String jwt) {try {//解析JWT字符串中的数据，并进行最基础的验证Claims claims = Jwts.parser()//SECRET_KEY是加密算法对应的密钥，jjwt可以自动判断机密算法.setSigningKey(SECRET_KEY)//jwt是JWT字符串.parseClaimsJws(jwt).getBody();System.out.println(claims);//获取自定义字段keyString vaule = claims.get("key", String.class);//判断自定义字段是否正确if ("vaule".equals(vaule)) {return true;} else {return false;}//在解析JWT字符串时，如果密钥不正确，将会解析失败，抛出SignatureException异常，说明该JWT字符串是伪造的//在解析JWT字符串时，如果‘过期时间字段’已经早于当前时间，将会抛出ExpiredJwtException异常，说明本次请求已经失效} catch (SignatureException | ExpiredJwtException e) {return false;}}}
上一页
1
2
3
下一页
		  	









揭秘：商圣范蠡师承何方？以及一生命运如何 

Shiro认证-身份认证加密 

SSL双向认证加密技术图解 

可证明安全——对称加密 

Shiro认证及加盐加密 

加密和认证 

ca证书如何保证非对称加密安全？ 

AEAD  使用关联数据的认证加密 

无线的安全威胁与认证加密技术 

古埃及文明起源玛雅人眼中的地球第三次文明